Abo
  • Services:
Anzeige
Softwarehersteller bekommen unter Umständen mehr Zeit zum Beseitigen von Sicherheitslücken.
Softwarehersteller bekommen unter Umständen mehr Zeit zum Beseitigen von Sicherheitslücken. (Bild: Google Project Zero)

Project-Zero-Fristen: Google gewährt 14-Tage-Bonus für besondere Sicherheitslücken

Softwarehersteller bekommen unter Umständen mehr Zeit zum Beseitigen von Sicherheitslücken.
Softwarehersteller bekommen unter Umständen mehr Zeit zum Beseitigen von Sicherheitslücken. (Bild: Google Project Zero)

Zum Beseitigen von Sicherheitslücken in ihren Produkten sind den Entwicklern 90 Tage manchmal nicht genug. Google nimmt sich dieses Problems nun mit seinem Project Zero an: In besonderen Fällen gibt es eine kleine Pufferzone. Mitunter werden auch bestimmte Wochentage berücksichtigt.

Anzeige

Google wird seine Regeln zur Veröffentlichung von Sicherheitslücken anpassen, wie das Unternehmen in dem Blog von Project Zero ankündigt. Für seine bisherige Politik hat Google einige Kritik einstecken müssen. So veröffentlichte Google beispielsweise vollständige Details zu gefährlichen Sicherheitslücken in OS X und in Windows. Die entdeckten Sicherheitslücken hatte Google den beiden Unternehmen gemeldet und ihnen 90 Tage Zeit gelassen, um sie zu beseitigen.

In der Zwischenzeit hätten auch andere Entdecker - sollte es sie gegeben haben - die Sicherheitslücken ausnutzen können. Die Windows-Sicherheitslücke gehörte zu einer Klasse der unangenehmsten Fehler für Anwender. Es ließen sich nämlich höhere Rechte erschleichen, was das Sicherheitskonzept vieler Unternehmen und Anwender außer Betrieb setzt, die korrekterweise nur mit Standardrechten arbeiten. Die Sicherheitslücke in Apples Betriebssystem war ähnlich gravierend, da mit einem Angriff Root-Rechte erschlichen werden konnten. Die Details zu beiden Problemen hielt Googles Project Zero für 90 Tage geheim.

Responsible Disclosure setzt Entwickler unter Druck

Mit dieser sogenannten Responsible Disclosure soll den betroffenen Unternehmen Zeit zur Entwicklung eines funktionstüchtigen Patches gegeben werden. Sie soll sie aber gleichzeitig aufgrund der drohenden Veröffentlichung zum Handeln zwingen. Dieser Zwang hilft der Produktsicherheit, wie Project Zero nach Untersuchung der eigenen Statistiken meint. Microsoft beschwerte sich daraufhin über die Sturheit von Google, da das Unternehmen die Sicherheitspatches eigentlich erst einen Monat später veröffentlichen wollte. Microsoft bat zumindest um zusätzliche zwei Tage, die jedoch nicht gewährt wurden.

In Zukunft will Google solche Fristverlängerungen mit verschiedenen Optionen ermöglichen. Eine dieser Optionen ist leicht nachvollziehbar. Fällt die Frist auf ein Wochenende oder einen Feiertag in den USA, wird Google die Sicherheitslücke erst am nächsten Werktag publizieren. Die zweite Option setzt allerdings voraus, dass der Hersteller der betroffenen Software mit Google kommuniziert. Ist ein Patch beispielsweise bereits für einen kommenden Patchday geplant, der innerhalb von 14 Tagen nach Ablauf der eigentlichen 90-Tage-Frist stattfindet, gibt es einen Bonus von bis zu 14 Tagen. Dann werden die Details zur Sicherheitslücke weiter geheimgehalten. Nur sehr außergewöhnliche Umstände sollen hier noch eine weitere Verschiebung ermöglichen. Wie diese aussehen, verrät Google nicht.

Sonderbehandlungen soll es für einzelne Hersteller nicht geben. Google bleibt dabei, dass diese Fristen für alle Hersteller von Software gleich bleiben. Das heißt, Google berücksichtigt beispielsweise nicht den Marktanteil einer von Sicherheitslücken betroffenen Software und hält so weiter den Druck aufrecht. Die Regel soll auch für eigene Produkte gelten, wie Google angibt.

In der Regel reicht die 90-Tage-Frist für die Beseitigung von Sicherheitslücken. So hat es Adobe laut Project Zero geschafft, alle 37 gemeldeten Sicherheitslücken innerhalb dieser Frist zu beseitigen. Wenn die Lücken also korrekt gemeldet werden, ist Adobe zuverlässig dabei, seine Flash-Plattform zu sichern. Problematisch sind bei Adobe allerdings die in den letzten Wochen durch Kriminelle zuerst entdeckten Sicherheitslücken, auf die auch Adobe nur hastig reagieren kann. Die Sicherheitslücken müssen dann mitunter über mehrere Tage hingenommen werden. Anwender von Adobes Flash wurden dieses Jahr bereits drei Mal von solchen Sicherheitslücken überrascht, die außerhalb eines Patchtages abgesichert werden mussten.


eye home zur Startseite
heubergen 18. Sep 2015

Es ist schlimmer, bei Apple weiss es wenigstens jeder zum vorherein. Google aber tut...

__destruct() 16. Feb 2015

Interessiert nicht. In der aktuellen Software ist der Fehler nicht drin.

Sea 16. Feb 2015

So ein blödsinn da. Das ist echt Googlebashing auf unterstem Niveau. Irgendeinen Mist...

Dwalinn 16. Feb 2015

Es heißt bis zu 14 Tage. Wenn also die 90 Tage an einen Donnerstag auslaufen hat...

Lala Satalin... 15. Feb 2015

Mein erster Gedanke war tatsächlich der, der im Artikel steht. Wenn man die Vorgeschichte...



Anzeige

Stellenmarkt
  1. Landkreis Lörrach, Lörrach
  2. flexis AG, Stuttgart
  3. DRÄXLMAIER Group, Vilsbiburg bei Landshut
  4. BODYCOTE Deutschland GmbH, Düsseldorf


Anzeige
Blu-ray-Angebote
  1. (Kaufen und Leihen)
  2. 29,99€ (Vorbesteller-Preisgarantie)
  3. 69,99€ (DVD 54,99€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Nokia 3, 5 und 6

    HMD Global bringt drei Nokia-Smartphones mit Android

  2. Moto G5 und Moto G5 Plus im Hands on

    Lenovos kompakte Mittelklasse ist zurück

  3. Handy-Klassiker

    HMD Global bringt das Nokia 3310 zurück

  4. Galaxy Tab S3 im Hands on

    Samsung präsentiert Oberklasse-Tablet mit Eingabestift

  5. Galaxy Book im Hands on

    Samsung bringt neuen 2-in-1-Computer

  6. Mobilfunk

    "5G muss weit mehr als LTE bieten"

  7. UHS-III

    Neuer (Micro-)SD-Karten-Standard schafft über 600 MByte/s

  8. Watch 2 im Hands on

    Huaweis neue Smartwatch soll bis zu 21 Tage lang durchhalten

  9. LG G6 im Hands on

    Schlankes Smartphone hat zwei Kameralinsen

  10. P10 und P10 Plus im Hands on

    Huaweis neues P10 kostet 600 Euro



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Trappist-1: Der Zwerg und die sieben Planeten
Trappist-1
Der Zwerg und die sieben Planeten
  1. Weltraumteleskop Erosita soll Hinweise auf Dunkle Energie finden
  2. Astrophysik Ferne Galaxie schickt grelle Blitze zur Erde
  3. Astronomie Vera Rubin, die dunkle Materie und der Nobelpreis

Limux: Die tragische Geschichte eines Leuchtturm-Projekts
Limux
Die tragische Geschichte eines Leuchtturm-Projekts
  1. Limux München prüft Rückkehr zu Windows
  2. Limux-Projekt Windows könnte München mehr als sechs Millionen Euro kosten
  3. Limux Münchner Stadtrat ignoriert selbst beauftragte Studie

Wacoms Intuos Pro Paper im Test: Weg mit digital, her mit Stift und Papier!
Wacoms Intuos Pro Paper im Test
Weg mit digital, her mit Stift und Papier!
  1. Wacom Brainwave Ein Graph sagt mehr als tausend Worte
  2. Canvas Dells Stift-Tablet bedient sich bei Microsoft und Wacom
  3. Intuos Pro Wacom verbindet Zeichentablet mit echtem Papier

  1. Re: RIP LG mobile

    jack56 | 01:20

  2. ... und keiner hat's bemerkt ...

    cicero | 01:15

  3. "pure Android" & "monthly updates"

    cicero | 01:11

  4. Ein kleiner Schritt in die richtige Richtung

    jack56 | 01:08

  5. Re: Wozu?

    Niaxa | 01:06


  1. 21:13

  2. 20:32

  3. 20:15

  4. 19:00

  5. 19:00

  6. 18:45

  7. 18:10

  8. 17:48


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel